Detección de Ransomware SolidBit: Variante Innovadora Dirige su Ataque a Usuarios de Videojuegos Populares y Plataformas de Redes Sociales
Tabla de contenidos:
Los ataques de ransomware se han convertido en una tendencia en constante crecimiento en el ámbito de las amenazas cibernéticas desde 2020, lo cual sigue en aumento en 2021-2022. Investigadores en ciberseguridad han descubierto recientemente una nueva variante de ransomware SolidBit que tiene como objetivo a gamers y usuarios de redes sociales. La nueva cepa de malware se ha detectado en la naturaleza, siendo subida a GitHub y disfrazada como aplicaciones populares que atraen a posibles víctimas para que las ejecuten. Una vez lanzados, los archivos señuelo ejecutan código malicioso de PowerShell que despliega ransomware en los dispositivos objetivo.
Detectar nueva variante de ransomware SolidBit
Con el volumen en aumento de ataques de ransomware sofisticados y el creciente alcance de las actividades de ransomware-como-servicio (RaaS), los defensores cibernéticos están en busca de maneras innovadoras para fortalecer la postura de ciberseguridad de sus organizaciones. La plataforma Detection as Code de SOC Prime ha lanzado recientemente un conjunto de reglas Sigma curadas para detectar el ransomware SolidBit creado por nuestros desarrolladores del Programa de Recompensas de Amenazas, Furkan Celik and Osman Demir. Los usuarios registrados de SOC Prime pueden acceder a las consultas dedicadas de búsqueda de amenazas siguiendo el enlace a continuación:
Reglas Sigma para detectar ransomware SolidBit
Ambas detecciones son compatibles con las soluciones líderes de la industria SIEM, EDR y XDR soportadas por la plataforma de SOC Prime y están alineadas con el marco MITRE ATT&CK abordando la táctica de Impacto con la técnica correspondiente de Datos Cifrados para Impacto (T1486). Además, la regla Sigma dedicada por Furkan Celik también aborda la táctica ATT&CK de Ejecución representada por la técnica de Ejecución de Usuario (T1204).
Los hábiles profesionales de ciberseguridad que se esfuerzan por enriquecer sus habilidades de Ingeniería de Detección y de Búsqueda de Amenazas pueden unirse a las filas de nuestro Programa de Recompensas de Amenazas para hacer su propia contribución al conocimiento colectivo de la industria. La participación en el Programa permite a los autores de contenido de detección monetizar sus habilidades profesionales mientras ayudan a construir un futuro digital más seguro.
Para mantenerse al tanto de la rápida evolución de los ataques de ransomware, los equipos de seguridad pueden aprovechar toda la colección de reglas Sigma relevantes disponibles en la plataforma de SOC Prime haciendo clic en el botón Detectar & Buscar . Para una investigación de amenazas simplificada, los usuarios no registrados de SOC Prime también pueden beneficiarse de nuestro Motor de Búsqueda de Amenazas Cibernéticas y explorar la información contextual completa relacionada con ransomware, incluyendo referencias de MITRE ATT&CK y CTI y más metadatos relevantes haciendo clic en el botón Explorar Contexto de Amenazas a continuación.
Detectar & Buscar Explorar Contexto de Amenazas
Descripción de SolidBit
El ransomware SolidBit, un jugador relativamente nuevo en el ámbito de las amenazas cibernéticas, es un descendiente del infame ransomware Yashma/Chaos. Los investigadores de seguridad creen que los mantenedores de SolidBit trabajan estrechamente con los desarrolladores de Yashma para mejorar algunas características del constructor Chaos y luego van al mercado clandestino, comercializándolo como SolidBit.
La modificación más reciente, promovida como la variante SolidBit 3.0, está compilada con .NET, y según la investigación de Trend Micro, utiliza una cadena de ataque poco común para alcanzar infecciones masivas. Notablemente, los operadores del ransomware SolidBit han empujado la carga maliciosa a GitHub, enmascarando la amenaza dentro de herramientas de juegos y bots de redes sociales.
La última campaña difunde una herramienta falsa de verificación de cuentas de League of Legends y un bot de seguidores de Instagram. En caso de que una víctima descargue la aplicación de GitHub y la ejecute, la aplicación maliciosa ejecuta rápidamente un código de PowerShell que eventualmente deja caer la carga útil de SolidBit. Antes de la encriptación, el ransomware aplica un conjunto de trucos de depuración y ofuscación junto con la terminación de servicios y la eliminación de copias sombra para pasar desapercibido.
Aparte de las mejoras a la funcionalidad principal, los mantenedores de SolidBit se esfuerzan por expandir su red maliciosa aplicando el modelo RaaS. Notablemente, el 30 de junio de 2022, los investigadores de seguridad detectaron anuncios de trabajo en foros clandestinos para involucrar nuevos afiliados SolidBit RaaS.
Las nuevas tácticas apuntan a la creciente sofisticación de la cepa SolidBit, lo cual es una tendencia común en el ámbito del ransomware. A medida que los ataques crecen en alcance y escala, los investigadores de seguridad requieren herramientas innovadoras para detectar amenazas emergentes y mantenerse un paso adelante de los atacantes. Únete a la plataforma Detection as Code de SOC Prime para detectar los últimos ataques con la colección de reglas Sigma más grande del mundo, mejorar la fuente de registros y la cobertura de MITRE ATT&CK, y contribuir activamente a mejorar las capacidades de defensa cibernética de tu organización. Los Cazadores de Amenazas Veteranos y los Ingenieros de Detección son más que bienvenidos a unirse Programa de Recompensas de Amenazas – la iniciativa de crowdsourcing de SOC Prime, para compartir sus algoritmos de detección con la comunidad de ciberseguridad, contribuir a la defensa cibernética colaborativa y obtener pagos recurrentes por su aporte.
